DDos-Attacken

Gegenangriff: Cyberattacken auf Botnetz-Jäger

Cyberkriminelle haben zum Gegenschlag gegen einen Botnetz-Tracker ausgeholt. Wie die RSA FraudAction Research Labs berichten, kann der gängige Banking-Trojaner SkyEye jetzt auch DDoS-Attacken (Distributed Denial of Service) ausführen.

Im Visier steht speziell die Non-Profit-Webseite Abuse.ch, die unter anderem SpyEye-Kommandostrukturen überwacht. "Dieser Botnetz-Tracker tut SpyEye-Betreibern wirklich weh", meint Kaspersky-Virenanalyst Tillmann Werner im Gespräch mit pressetext. Die Daten helfen, Botnetze auszubremsen.

Derartige Gegenangriff von Cyberkriminellen gegen Webseiten und Dienste aus dem bereich IT-Security könnten in Zukunft gängiger werden. "Es ist denkbar, dass DDoS-Attacken gegen die Cloud-Funktionen von Antiviren-Produkten kommen werden", erklärt Werner. Die entscheidende Frage ist, ob es für Kriminelle rentabel sein wird, derartige Dienste anzugreifen.

"SpyEye ist im Bereich Banking-Trojaner derzeit das State-of-the-Art-Produkt", sagt der Kaspersky-Experte. Cyberkriminelle können ein Toolkit kaufen, um Botnetze aufzuziehen oder solche für ihre Aktivitäten anmieten. Abuse.ch bietet einen SpyEye-Tracker an, der die Aktivitäten von Botnetz-Kommandoservern überwacht und Blocklisten bereitstellt.

Diese Daten helfen beispielsweise ISPs, Unternehmen und Browserherstellern, gegen SpyEye-Aktivitäten vorzugehen. Mithilfe der Blocklisten können sie verhindern, dass infizierte PCs Befehle von den Botnetz-Betreibern empfangen. Für die Cyberkriminellen ist das eine Störung ihres Geschäftsmodells. Schon seit November 2010 erfolgen daher DDoS-Attacken als kriminelle Gegenangriffe auf Abuse.ch, so Werner.

Heutige Antiviren- und Internet-Security-Produkte integrieren zunehmend Cloud-Features, um bei neuen Bedrohungen schneller Schutz zu bieten. Daher drängt sich die Frage auf, ob die entsprechenden Server ebenfalls Zielscheibe krimineller Gegenangriffe werden könnten. "Wenn man einen zentralisierten Dienst anbietet, muss man mit DDoS-Angriffen rechnen", bestätigt das Werner auf Nachfrage von pressetext.

Allerdings ist offen, ob sich derartige Attacken auf AV-Dienste für Cyberkriminelle lohnen würden. "Es besteht die Chance, dass durch solche Gegenangriffe Cybercrime-Ressourcen gebunden werden", meint der Virenanalyst. Das zeigt sich am Beispiel der Idee, die Verbreitung einer neuen Malware durch lähmen der Cloud-Funktionen von AV-Produkten zu schützen. Wie Werner erläutert, wäre dazu ein großer Aufwand an koordinierten DDoS-Attacken nötig, da ja die Online-Dienste aller wichtigen Anbieter gestört werden müssten. (pte/mje)